The secret life of a rootkit - Computerworld
Rootkit είναι ένα πρόγραμμα που μπορεί να χρησιμοποιηθεί για να κρύψει από το χρήστη αρχεία, τιμές στις παραμέτρους του μητρώου των Windows, δικτυακές συνδέσεις, διεργασίες που εκτελούνται κ.ά. Οι κρυμμένες διεργασίες δεν εμφανίζονται στον Windows Task Managers όπως και οι δικτυακές συνδέσεις στο Netstat.
Ελάχιστες είναι οι περιπτώσεις που η τεχνολογία των rootkit χρησιμοποιείται «νόμιμα» -όπως για την απόκρυψη ευαίσθητων πληροφοριών από άλλους χρήστες που χρησιμοποιούν το ίδιο μηχάνημα. Τα rootkit ξεγελούν την συνάρτηση που μετρά και επιστρέφει την ταυτότητα των διεργασιών που εκτελούνται. Ό,τι κρύβεται από rootkit ξεγελά ακόμα και τα antivirus.
Υπάρχουν και τα λεγόμενα kernel-mode rootkit για τη χρήση των οποίων απαιτείται να φορτωθεί κάποιος επιπλέον κώδικας στον πυρήνα του λειτουργικού (μέσω ενός οδηγού συσκευής ή αρχείου .sys). Εάν προστεθεί αυτός ο κώδικας, τα αποτελέσματα των κλήσεων σε συναρτήσεις μπορεί να τροποποιηθεί κατά βούληση.
Διάφορες μέθοδοι χρησιμοποιούνται για τον εντοπισμό των rootkit -οι πιο αποτελεσματικές όμως βασίζονται στα λεγόμενα heuristics. Αν ένα πρόγραμμα εγκαθιστά keylogger, αν δεν κάνει εμφανή την ύπαρξή του -π.χ. για να καθησυχάσει το χρήστη- μάλλον είναι ύποπτο. Όσα λάθη κάνει ο αλγόριθμος μπορεί να τα διορθώσει ο χρήστης, προσθέτοντάς τα στις εξαιρέσεις.
Εγγραφή σε:
Σχόλια ανάρτησης (Atom)
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου